Data Security Statement

> ⚠ **Traduzione non ufficiale. In caso di discrepanza, prevale la versione inglese.**

# Politica di Sicurezza e Protezione dei Dati – 2Zone Therapy v1.0

**Data di entrata in vigore:** 6 agosto 2025  
**Ultimo aggiornamento:** 23 ottobre 2025  

---

## 1. Impegno per la sicurezza
**2Zone Therapy**, gestore dei servizi **HealthGPT** ed **ERRIC**, si impegna a garantire la **riservatezza, l’integrità e la disponibilità** dei tuoi dati personali e sanitari.  
Adottiamo le migliori pratiche internazionali in materia di sicurezza informatica, conformità al GDPR e gestione del rischio.

---

## 2. Infrastruttura e hosting
- I nostri server sono ospitati in **data center certificati ISO 27001**.  
- Tutte le comunicazioni tra browser e server utilizzano **crittografia SSL/TLS a 256 bit**.  
- I backup vengono eseguiti quotidianamente e archiviati in modo crittografato in più sedi sicure.  
- Tutti gli accessi sono protetti da **autenticazione a più fattori (MFA)**.

---

## 3. Crittografia e conservazione dei dati
- Le **password e PassPhrase segrete** sono cifrate e mai archiviate in chiaro.  
- I **protocolli sanitari** e i log ERRIC sono protetti con **crittografia AES-256**.  
- Nessun dato sensibile viene trasmesso o memorizzato in formato leggibile.  
- Le comunicazioni interne utilizzano chiavi API sicure e vengono monitorate con controlli automatici.

---

## 4. Controllo degli accessi e autenticazione
- Ogni utente dispone di credenziali uniche.  
- Gli accessi sospetti (da dispositivi o paesi insoliti) vengono automaticamente bloccati.  
- Tutte le modifiche, accessi e cancellazioni vengono registrate in un registro interno di sicurezza.

---

## 5. Rilevamento e risposta agli incidenti
- I nostri sistemi sono monitorati 24/7 per individuare intrusioni o attività anomale.  
- In caso di violazione dei dati, gli utenti interessati verranno informati entro **72 ore**, come previsto dal GDPR.  
- È possibile richiedere un rapporto completo al **Responsabile della Protezione dei Dati (DPO)**.

---

## 6. Cancellazione e conservazione dei dati
- Gli utenti possono richiedere la cancellazione completa dei propri dati (vedi [Informativa sulla Privacy](../privacy_policy_v5.0.md)).  
- I dati eliminati vengono rimossi in modo permanente entro **30 giorni**.  
- I backup contenenti tali dati vengono sovrascritti automaticamente entro **60 giorni**.

---

## 7. Fornitori e trasferimenti internazionali
Collaboriamo esclusivamente con fornitori **conformi al GDPR** o **certificati ISO 27001**.  
I trasferimenti di dati al di fuori dello Spazio Economico Europeo (SEE) sono protetti dalle **Clausole Contrattuali Standard (SCC)** o da equivalenti garanzie legali.

---

## 8. Formazione e conformità interna
- Tutti i dipendenti e partner partecipano annualmente a corsi di **formazione sulla sicurezza e protezione dei dati**.  
- Effettuiamo **audit interni semestrali** per garantire la conformità.  
- Qualsiasi violazione delle presenti politiche può comportare sanzioni disciplinari o la cessazione del rapporto contrattuale.

---

## 9. Diritti dell’utente
Hai il diritto di:
- Accedere ai dati personali memorizzati su di te,  
- Chiederne la correzione o la cancellazione,  
- Contattare il nostro DPO per domande relative alla sicurezza o alla privacy.

---

## 10. Contatti – Sicurezza e Privacy
**Responsabile della Protezione dei Dati (DPO) – 2Zone Therapy**  
E-mail: **privacy@2zonetherapy.com**  
Supporto tecnico: **support@healthgpt.co.il**

---

## 11. Aggiornamenti della politica
Questa politica di sicurezza può essere aggiornata periodicamente.  
Eventuali modifiche importanti verranno comunicate via e-mail o tramite il pannello utente.  
In caso di dubbio interpretativo, **fa fede la versione inglese**.

---